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(54) Dispositif et procede d'authentification d'un utilisateur a distance 

(57) La presente invention concerne un procede 
d'authentification a distance d'un utilisateur (7) pour I'ac- 
ces local a une machine (4), appartenant a un reseau 
(5) incluant un serveur (3) gere par un administrateur 
(8), consistant a : 

creer au moyen de la machine (4) un defi (D) ; 

• communiquer a Tadministrateur (8) le defi (b) ainsi 
que des elements connus de I'utilisateur a I'aide des 
moyens de communication (9) independant du re- 
seau (5) ; 

• effectuer un calcul predetermine au moyen du ser- 
veur (3) pour obtenir.une reponse (RD) au defi (D); 

• transmettre a I'utilisateur (7) la reponse obtenue 
- (RD) par les moyens de communication (9) ; 

effectuer un calcul a I'aide de la machine (4) de la 
meme facon que le serveur (3) pour obtenir une re- 
ponse (RD1) au defi (D) ; 

• comparer les reponses (RD) et (RD1) et autoriser 
la connexion en local en fonction du resultat. 
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Description 

[0001] La presente invention concerne le domain e 
des systemes securises d'authentification a distance 
permettant le controle d'acces en local d'un utilisateur 
a une station. 

L'art anterieur 

[0002] Dans un environnement distribue, on connatt 
des systemes de gestion d'acces securises permettant 
un controle d'acces secu rise a distance a travers un r6- 
seau, d'utilisateurs a des ressources protegees. 
[0003] Dans le cadre de la presente invention, le ter- 
me « ressource » doit etre entendu dans son sens le 
plus large. II englobe notamment des applications logi- 
cielles, des bases de donnees ou des fichiers, des 
champs particuliers de ces fichiers, des systemes com- 
plets, des machines, des dispositifs particuliers tels que 
des peripheriques ... 

[0004] Les systemes de gestion d'acces securises 
garantissent I* identification des utilisateurs afin de de- 
terminer si ceux-ci font parties des personnes habilitees 
a utilise r les ressources concernees. Un systeme de 
gestion d'acces securises comporte generalement une 
base de donnees centralisee dans laquelle sont stoc- 
kees des informations concernant les utilisateurs, leurs 
moyens d'authentification, les operations autorisees... 
Les moyens d'authentification peuvent consister par 
exemple en mot de passe, carte a microprocesseur, mot 
de passe a usage unique... 

[0005] Un admin istrateur gere la base de donnees 
centrale de man i ere homogene et sur Pensemble du 
systeme d' information. Chaque utilisateur est authenti- 
fie par un serveur central d'authentification ayant acces 
a la base de donnees centrale. 

[0006] Les systemes de gestion d'acces securises a 
distance posent un probleme lorsqu'un des elements 
participant a I'authentification ne fonctionne plus. Ainsi, 
par exemple, en cas d'indisponibilite ou de panne du 
serveur, en cas de panne au niveau du reseau, en cas 
de probleme logiciel ou materiel empechant d'accecter 
au reseau, en cas de probleme dans le logiciel d'authen- 
tification lui-meme ou dans sa configuration, ou dans 
d'autres cas equivalents, it devient impossible pourtou- 
tes personnes; en particulier pour celles chargees de la 
maintenance, de s'authentifler et done de se connecter, 
meme en local. L'agent charge de la maintenance est 
contraint de delruire le systeme d'informations par 
exemple en le reinstallant entierement. 
[0007] On connatt une solution consistant a utiliser un 
cache local de secu rite genere lors de la premiere 
authentication de I'utilisateur. Le cache local contient 
tous les Elements permettant I'authentification de I'utili- 
sateur localement. Le cache est reutilisable par la suite 
par I'utilisateur en question. Cette solution presente Tin- 
convenient pour les agents de la maintenance d'avoir a 
s'authentifier une premiere fois sur tout e les stations sur 



lesquelles ils sont susceptibles d'intervenir, ceci afin de 
creer un cache leur etant destine sur chacune desdites 
stations. Par ailleurs, si une panne quelconque se pro- 
duit avant qu'un utilisateur n'ait eu le temps de se con- 

5 necter a sa station, ledit utilisateur ne pourra pas se con- 
necter en I'absence de cache local de securite. 
[0008] Un but de la presente invention est d'authenti- 
fier un utilisateur en local sur une station en evitant une 
authentification a distance realisee par un serveur a tra- 

10 vers un reseau, le serveur centralisant toutes les don- 
nees relatives aux autorisations d'acces telles que nom 
d'utilisateur, mot de passe,... 

[0009] Un but de la presente invention est de permet- 
tre la connexion a une station en local lorsque le serveur 
is d'authentification, le reseau ou autre est en panne ou 
indisponible. 

Resume de I'invention 

20 [001 0] Dans ce contexte, la presente invention propo- 
se un precede d'authentification a distance d'un utilisa- 
teur pour acceder localement a une machine locale ap- 
partenant a un reseau, le reseau incluant un serveur dis- 
tant gere par un administrateur, le serveur contenant 

25 des moyens de classement d'informations, caracterise 
en ce qu'il consiste a : 

• creer un defi D apte a etre transmis par des moyens 
de communication, les moyens de communication 

30 mettant I'utilisateur en relation avec 
I'admin istrateur ; 

• communiquer a I'administrateur le defi cree D ainsi 
que des elements connus de i'utilisateur a I'aide des 
moyens de communication ; 

35 • effectuer un calcul predetermine au moyen du ser- 
veur pour obtenir une reponse RD fonction du defi 
D et/ou de donn§es delerminees; 

• transmettre a I'utilisateur la reponse obtenue RD 
par les moyens de communication ; 

40 • effectuer un calcul a I'aide de la machine locale de 
la meme facon que le serveur pour obtenir une re- 
ponse RD1 fonction du defi D et/ou de donnees 
delerminees ; 

• comparer la reponse RD transmise par I'adminis- 
45 trateur et la reponse RD1 calculee par la machine 

locale et autoriser la connexion de I'utilisateur a la 
machine en local en fonction du resultat de la com- 
paraison. 

50 [0011] La presente invention propose egalement un 
systeme d'authentification a distance d'un utilisateur 
pour Pacces local a une machine appelee. machine lo- 
cale, appartenant a un reseau incluant un serveur dis- 
tant gere par un administrateur, le serveur contenant 

55 des moyens de classement d'informations, caracterise 
en ce qu'il comprend des moyens de communication 
mettant T utilisateur en relation avec I'administrateur, en 
ce que chaque machine locale comprend un module 
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d'authentification litilisateur comportant un module uti- 
lisateur de generation de defi et un module utilisateur 
de calcul de reponse a un defi, et en ce que le serveur 
comprend un module d'authentification administrateur 
comportant un module administrateur de calcul de r6- 
ponse a un d6fi. 

Presentation des figures 

[001 2] D'autres caracteristiques et avantages de ('in- 
vention apparattront a la lumiere de la description qui 
suit, donnee a titre d'exempje illustiratif et non limitatif 
de la presente invention, en reference aux dessins an- 
nexes dans lesquels: 

• la figure 1 est un schema simplifie global du syste- 
ms d'authentification selon la presente invention ; 

• les figures 2, 4 a 6 representent I'ecran d'une ma- 
chine locale du systeme informatique selon une for- 
me de realisation de la presente invention ; 

• la figure 3 represente I'ecran d'un serveur du sys- 
tems informatique selon une forme de realisation 
de la presente invention. 

Description d'une forme de realisation de Inven- 
tion 

[0013] Dans toute la. description qui suit, le terme « 
local » definit une proximite par rapport au referentiel 
coristitue par un utilisateur du systeme selon ('invention, 
le terme « distant » un eloignement. 
[0014]- Comma represents sur la figure 1, la presente 
invention conceme un systeme informatique 1 compor- 
tant aumoiris deux machines 2 avec leurs composants 
essentiels classiques, processeur, unite centrale, en- 
tree/sortie, ... L'une des sorties des machines 2 se ma- 
terialise par un ecran sur lequel s'affichent des boTtes 
de dialogue representees sur les figures 2 a 6. L'une 
des machines 2 joue un role specifique par rapport aux 
autres et est appelee serveur distant 3, les autres ma- 
chines etant appe!6es machines locales 4. 
[001 5] Le serveur distant 3 est relie aux machines lo- 
cales 4 par rintermediaire d'un reseau 5. Le serveur 3 
comporte une base de donnees centrale 6 dans laquelle 
sont stockees des informations concernant des utilisa- 
teurs 7 du systeme 1. Lesdites informations peuvent 
consister nptamment pour chaque utilisateur 7 en un 
nom d'utilisateur et un mot de passe. Un administrateur 
8 gere la base de donnees centrale 6. 
[001 6] Le systeme 1 comprend des moyens de Com- 
munication 9 ehtre chaque utilisateur 7 et I'administra- 
teur 8. Selon une forme de realisation, les moyens de 
communication 9 relient de manidre directe et/ou secu- 
risee un utilisateur 7 a un administrateur 8. Selon un. 
developpement de ['invention particulierement avanta- 
geux nptamment lorsque le r6seau 5 est en panne ou 
indisponible, les moyens de communication 9 fonction- 
nent hors ligne a savoir sans connexion au reseau 5. 



Les. moyens de communication peuvent consister com- 
me illustre sur la figure i en une ligne telephonique. Tout 
autre rhoyen de communication comme par exemple un 
telex, une ligne radio, une connexion informatique est 
5 susceptible d'dtre utilise. 

[0017] Des modules logiciels d'authentification utili- 
sateur 10 sont prevus dans chaque machine locale 4. 
lis comprennent un module utilisateur de. generation de 
defi 11 et un module utilisateur de calcul de reponse a 
On defi 12. Un module logiciel d'authentification admi- 
nistrateur 13 est prevu dans le serveur 3. I! comprend 
un module administrateur de modification de secret 14 
et un module administrateur de calcul de reponse a un 
defi 15. Les relations entre modules sont susceptibles 
de se presenter, sous toute autre forme; ainsi, par exem- 
ple, le module administrateur de modification de secret 
14 peut ne pas etre contenu dans le module d'authen- 
tification administrateur 1 3. 

[0018] Des interfaces graphiques sont prevues dans 
chacune des machines 2 pour le dialogue avec un utili- 
sateur ou administrateur. Elles affichent notamment des 
boftes de dialogue (representees sur les figures 2 a 6) 
sur recran des machines 2. Les boTtes de dialogue ser- 
vent a la saisie d'eiements communiques par I'utilisateur 
ou I'administrateur ainsi qu'a I'affichage d' informations 
destipees a ces derniers. 

[001 9] Le serveur distant 3 et chaque machine locale 
4 comportent egalement respectivement des moyens 
de memorisation administrateur 16 et utilisateur 17. Les 
informations contenues dans les moyens de memorisa- 
tion administrateur 16 sont susceptibles d'etre conte- 
nues dans la base de donnees centrale 6. Dans ce der- 
nier cas, les moyens de memorisation administrateur 1 6 
sont supprimes. 

[0020] Comme le montre la figure 1 , I'utilisateur 7 dis- 
pose d'une machine locale 4 sur laquelle il souharte se 
connecter. L'utilisateur 7 saisit sur la machine locale 4 
un nom d'utilisateur . et un mot de passe a I'aide d'une 
boite de dialogue adaptee et choisit un des modes de 
connexion qui lui sont offerts. Dans la forme de realisa- 
tion decrite, plusieurs modes de connexion s'offrent a 
I'utilisateur. Le mode dit normal consiste eh la connexion 
de Tutilisateur 7 au serveur distant 3 au travers du re- 
seau 5. Le mode ditde maintenance consiste en la con- 
nexion en local de I'utilisateur 7 sur la machine locale 4 
apr6s autorisation a. distance de I'administrateur 8. 
[0021] L'utilisateur 7 choisit le mode normal. Le mo- 
dule d'authentification utilisateur 10 communique la de- 
mande d'autorisation d'acces de i'utilisateur, le nom 
d'utilisateur et le mot de passe au module d'authentifi- 
cation administrateur 13 par le reseau 5. Le module 
d'authentification administrateur 1 3 verifie dans la base 
de donnees centrale 6 la presence du nom d'utilisateur 
et du mot de passe associe. Si le nom d'utilisateur ou le 
mot de passe associe ne se trouvent pas dans la base 
de donn6es 6, 1'acces est refuse. Si le nom d'utilisateur 
et le mot de passe associe se trouvent dans la base de 
donnees 6, le module d'authentification administrateur 
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13 transmet son autorisation au modufe d'authentifica- 
tion utilisateur 10. La connexion de l'utilisateur 7 a la 
machine locale 4 et au reseau 5 est r§alisee. L'authen- 
tification telle que decrite prec^demment en mode nor- 
mal est appele authentication reseau. 
[0022] Les moyens de memorisation admin istrateur 
16 contiennent un secret appele Secret Station MaTtre 
SSM. Le Secret Station MaTtre SSM est par exemple 
constitue d'une chaTne d'octets ; le Secret Station MaT- 
tre SSM est saisi par I'adm in istrateur 8 ou g6n6re aiea- 
toirerhent par le serveur 3, par exemple par le module 
d'authentification admin istrateur 13. II est susceptible 
d'etre modifie dans le temps. Le Secret Station Matt re 
est accompagne d'un numero de version N. Le numero 
de version IM est increments a chaque modification du 
Secret Station MaTtre. Le numero de version N a pour 
valeur initiale 0. Lors d'une premiere connexion en mo- 
de normal reussie, le module d'authentification admin is- 
trateur 13 transmet le Secret Station MaTtre SSM et le 
numero de version N associe, contenus dans les 
moyens de memorisation administrateur 16, a la machi- 
ne locale 4 concerned. 

[0023] Pour eviter I'utilisation du Secret Station MaTtre 
SSM sur une autre machine locale 4 par simple recopie 
de celui-ci d'une machine sur une autre, le module ad- 
ministrateur de modification de secret 14 modifie le Se- 
cret Station MaTtre SSM a I'aide d'une cle de modifica- 
tion C dependant de la machine locale 4 concerned. Le 
secret obtenu est appele Secret Station SS. Le Secret 
Station SS obtenu ainsi que le numeYo de version N du 
Secret Station MaTtre SSM correspondant sont transmis 
a la machine locale 4 concerned et stockes dans les 
moyens de memorisation utilisateur 17 de la machine 
locale 4 concerned. 

[0024] La cle de modification C peut correspondre par 
exemple a la concatenation du Secret Station MaTtre et 
du nom de la machine locale 4 puis a la derivation de la 
chaTne concatenee obtenu e par une fonction de deriva- 
tion irreversible telle que par exemple la fonction connue 
MD5 ou SHA 

[0025] Station Secret = C [Station Secret MaTtre] 

[0026] Station Secret = [Station Secret MaTtre + nom 

de la machine locale concernee]^^^ 

[0027] Le nom de la machine locale 4 est transmis, 

comma i I sera vu plus loin, par Putilisateur 7. 

[0028] Comma le montre la figure 1, le reseau 5 est 

interrompu. L'utilisateur 7 ne peut plus se connecter en 

mode normal. L'utilisateur 7 fait appel au precede selon 

I'invention pour se connecter a la machine locale 4 con- 

cernee. 

[0029] Le precede d'authentification a distance seloh 
P invent ion consiste a ; 

• creer un d6fi D apte a etre transmis par les moyens 
de communication 9, les moyens de communication 
9 mettant l'utilisateur en relation avec Padministra- 
teur 8 ; 

• communiquer a I'administrateur 8 le deff cree D ain- 



6 

si que des elements conn us de l'utilisateur a I'aide 
des moyens de communication 9 ; 

• effectuer un calcul predetermine au moyen du ser- 
veur 3 pour obtenir une reponse RD fonction du defi 

s D et/ou de donnees determinees; 

• transmettre a rutilisateur 7 la reponse obtenue RD 
par les moyens de communication 9 ; 

• effectuer un calcul a I'aide de la machine locale 4 
de la m§me facon que le serveur 3 pour obtenir une 

10 reponse RD1 fonction du defi D et/ou de donnees 
determinees ; 

• comparer la reponse RD transmise par I'adminis- 
trateur et la reponse RD1 caiculee par la machine 
locale 4 et autoriser la connexion de Putilisateur a 

15 la machine 4 en local en fonction du resultat de la 
comparaison. 

[0030] Le precede d'authentification a distance selon 
I'invention consiste tout d'abord a creer un defi D apte 

20 a etre transmis par les moyens de communication 9. Se- 
lon la forme de realisation illustree, le defi est cree au 
moyen de la machine locale 4. Selon une forme de rea- 
lisation de I'invention, le defi se presente sous la forme 
d'une chaTne d'octets, et par exemple d'une chaTne de 

25 caracteres. Le defi est cree au moyen du module 
d'authentification utilisateur 10 et plus precisement au 
moyen du module utilisateur de generation de defi 11 
de la machine locale 4. Pour ce faire, et comme montre 
sur la figure 2 representant Pecran de la machine locale 

30 4, l'utilisateur 7 saisit sur la machine 4 un nom d'utilisa- 
teur « DUPONT » et un mot de passe « *** » repr6sente 
par des croix a Pecran. Le nom d'utilisateur et le mot de 
passe sont stockes temporairement dans les moyens 
de memorisation utilisateur 17. L'utilisateur 7 indique a 

35 la machine locale 4 qu'il souhaite s'authentifier iocale- 
ment sans passer par Pauthentification reseau en choi- 
sissant le mode de connexion adapte. L'utilisateur 7 
choisit le mode de maintenance : il remplit la case desi- 
gnee par le terme « mode » par le terme « maintenance 

40 ». 

[0031] Le module utilisateur de generation de defi 11 
calcule un d6fi D. Le defi D est, selon un exemple de 
forme de realisation, une chaTne de douze caracteres 
alphanum6riques constituee de la manieresuivante : 

45 

• Le premier octet represente le type de defi : it prend 
deux valeurs L pour limite et S pour standard cor- 
respondant chacune a un type de defi. Le d6fi stan- 
dard est utilise dans le cas ou la machine locale 4 

50 concern ee a et6 connectee au moins une fois au 
serveur 3, le defi limite dans le cas contraire. La re- 
ponse au premier type de defi dit standard est cai- 
culee en fonction du Secret Station SS transmis par 
le serveur distant 3 a la machine locale 4 concernee 

55 lors de la premiere connexion de la machine 4 au 
serveur 3 au t ravers du r6seau 5. La reponse au 
defi est fonction du Secret Station SS partage entre 
le serveur 3 et la machine locale 4 en question. S'il 
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rVy a pas eu une telle premiere a identification re- 
seau, il existe un deuxieme type de de.fi dit limite 
qui ne prend pas en compte le Secret Station. La 
reponse au deuxieme type de d6fi est fonction d'une 
cie de securite fixe CC connue de la machine 4 con- 
cerned et du serve ur 3 ; 

• Le deuxieme et troisieme octets represented le nu- 
mero de version N du Secret Station MaTtre contenu 
dans les moyens de memorisation utilisateur 17 ; 

• Les octets, du quatrieme au douzieme, sont des ca- 
racteres alphanumeriques aleatoires. 

[0032] Toute autre forme de realisation du defi est 
susceptible d'etre utilisee. Le type de defi et le numero 
de version peuvent ne pas etre contenus dans le defi et 
etre communiques par I'utilisateur a I'aide des moyens 
de communication 9. II est egalement possible d'intro- 
duire d'autres elements connus de rutilisateur 7 et/ou 
de la machine locale 4 dans le defi. 
[0033] Le serveur 3 calcule le Secret Station SS a par- 
tir du Secret Station Maitre SSM stocke dans les 
moyens de memorisation admin ist rate ur 16 et le com- 
munique a la machine locale 4 concernee lors d'une pre- 
miere connexion en mode normal. Le Secret Station 
partage entre la machine locale 4 et le serveur distant 
3, oblige un passage par le serveur distant 3 pour le d6- 
blocage de toute machine locale 4. Aucune autre ma-' 
chine 2 que le serveur distant 3 ne pburra. debloquer 

une machine locale 4. 

[0034] Le serveur 3 conserve dans les moyens de 
memorisation administrateur 16 les Secrets Station 
Maitre de chaque version si la mise a jour simultanee 
de toutes les machines 4 n'est pas susceptible d'etre 
effectuee. 

[0035] Le defi D presente une forme adaptee a sa 
transmission de I'utilisateur 7 a I'administrateur 8 par les 
moyens de communication 9. Le defi est de maniere 
avantageuse court et intelligible pour etre transmis. plus 
facilement, et de maniere a diminuer le risque d'erreurs. 
Le defi gene>e est indique a I'utilisateur dans la case 
designe par le terme « Defi »> de la boTte de dialogue qui 
s'affiche a I'ecran de la machine locale 4, comme illustre 
sur la figure 2. 

[0036] Le probede selon I'invention consiste ensuite 
a communiquer a I'administrateur 8 le d6fi cre6 D ainsi 
que des elements conhus de I'utilisateur 7 a I'aide des 
moyens de communication 9. L'utiiisateur 7 contacte 
I'administrateur a I'aide des moyens de communication 
9, lui communique le defi D geneYe par ladite machine 
ainsi que des elements connus par iui tels que son nom 
d'utilisateur et le nom de la machine locale 4 concernee. 
L'administrateur 8 choisit le mode maintenance dans le 
serveur 3. La boTte de.dialogue illustr6e sur la figure 3. 
s'affiche sur I'ecran du serveur 3. L'administrateur 8 sai- 
sit dans le serveur 3 le nom de I'utilisateur 7, le. nom de 
la machine locale 4 et le defi D, communiques par I'uti- 
lisateur et clique sur la case Appliquer (figure 3). 
[0037] Le procede selon I'invention consiste ensuite 



a effectuer un calcul predetermine au moyen du serveur 
distant 3 pour obtenir uneVeponse RD fonction du d6fi 
D et/ou de donnees determin6es. 
[0038] Le module d'authentrfication administrateur 1 3 
5 analyse le premier octet du defi saisi pour determiner 
son type, standard ou limite. Dans le cas d'un defi stan- 
dard, le module d'authentification administrateur 13 no- 
te le numero de version du Secret Station Maitre donn6 
par le deuxieme octet du defi. Dans le cas d'un defi li- 
io mite, le deuxieme octet n'est pas pris en consideration. 
Le module administrateur de calcul de reponse 15 cal- 
cule une r6ponse RD au defi D adaptee au type de d6fi 
determine ; la reponse RD est apte a etre transmise par 
les moyens de communication 9. La reponse RD au d6fi, 
de la meme maniere que le defi D, presente une petite 
taille et est intelligible. La reponse RD depend du defi 
et de donnees determinees telles que le nom de I'utili- 
sateur, des informations stockees dans la base de don- 
nees centrale 6, a savoir le mot de passe associe au 
nom d'utilisateur communique par rutilisateur, et 

• dans le cas d'un d6fi standard, le secret partage en- 
tre le serveur 3 et la machine locale 4 (SS), secret 
dependant lui-meme du nom de la machine locale 
4 concernee ; 

dans le cas d'un defi limite, le nom de la machine 
locale 4 concernee et la cl6 de securite CC fixe par- 
tagee entre le serveur 3 et la machine locale 4. 

[0039] Le module administrateur de calcul de reponse 
15 calcule la reponse RD au defi de la maniere 
suivante : 

[0040] Pour un d6fi de type standard : 
[0041] Le module administrateur de calcul de reponse 
a un defi 15 calcule le Station Secret compte-tenu du 
numero de version du Station Secret MaTtre donn6 par 
le d6fi. Le Station Secret Maitre de la version corres- 
pondante est recherche dans les moyens de memorisa^ 
tion administrateur 1 6. Le module de modification de se- 
cret 14 applique la cie C de modification au Station Se- 
cret MaTtre pour obtenir le Station Secret : le Station Se- 
cret Maitre et le nom local de la machine locale 4 trans- 
mis par I'utilisateur sont concatenes. La chaTne de ca- 
racteres ainsi obtenue est derivee suivant I'algorithme 
de derivation du module de modification de secret 14. 
[0042] Le mot de passe associe au nom d'utilisateur 
saisi est recherche dans la base de donnees 6 et derive 
au moyen d'un algorithme irreversible tels que les algo- 
rithmes MD5 ou SHA pour obtenir un mot deipasse co- 
de. 

[0043] La reponse a un d6fi de type standard est ob- 
tenue en d6rivant une chaine de caracteres correspon- 
dant a la concatenation dans un ordre predetermine du 
nom de I'utilisateur et du defi tous deux transmis par I'uti- 
lisateur, du mot de passe code et du Secret Station cal- 
cule de la maniere d6crite pr6c6demment. 
[0044] Selon une forme de realisation, I'equation 
d'obtention de la r6ponse.a un d6fi de. type standard est 
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la suivante : 

RD = [Secret Station + nom de I'utilisateur + 

mot de passe code + Defi 5 
+ Secret Statfon]^ a ^^ nation 

[0045] Pour un defi de type limite : 
[0046] Le mot de passe assocte au nom d'utilisateur 1 ° 
saisi est recherche dans la base de donnees 6 et derive 
au moyen d'un algorithme irreversible tels que les algo- 
rithmes MD5 ou SHA pour obtenir un mot de passe co- 
de. 

[0047] La reponse a un defi de type limite est obtenue 
en derivant une chafrie de caracteres correspondant a 
la concatenation dans un ordre predetermine du nom 
de Tutilisateur transmis par I'utilisateur, du mot de passe 
code, du defi transmis par I'utilisateur, du nom local de 
la machine 4 transmis par I'utilisateur et d'une cle CC 20 
de securite fixe contenue dans les moyens de memori- 
sation 16 du serveur 3. 

[0048] L'equation d'obtention de la reponse a un defi 
de type limite est par exemple la suivante - 

25 



la machine locale 4 en question dans la case de la boite 
de dialogue designee par le terme « Reponse », comme 
le montre la figure 2 et clique sur la case OK. Le module 
utilisateur de calcul de reponse a un defi 12 calcule la 
reponse RD1 au defi D genere par le module utilisateur 
de generation de defi 11 de la meme facon que le mo- 
dule administrateur de calcul de reponse a un defi 15. 
L'expression « de la meme facon que » signifie que les 
calculs effectues respectivement par le module admi- 
nistrateur de calcul de reponse a un defi 15 et par le 
module utilisateur de calcul de reponse a un defi 1 2 sont 
bas6s sur les meme principes de maniere que. les re- 
ponses obtenues par les calculs respectifs puissent dtre 
comparees et que le resuttat de cette comparaison mon- 
tre que les informations utilisees respectivement par le 
serveur distant 3 et par la machine locale 4 pour le calcul 
des re>onses sont identiques. 

[0056] Les informations necessai res au calcul de la- 
dite reponse sont disponibles : 

• le nom d'utilisateur, le mot de passe et le defi sont 
enregistres dans les moyens de memorisation uti- 
lisateur 17; 

• le nom de la machine locale 4 est connu de ladite 
machine locale 4 ; 

le Secret Station SS ou la cle de securite fixe CC 
_ sont stockes dans les moyens de memorisation uti- 

RD = [nom de Tutilisateur + mot de passe code + D6fi + nom de lalisateur 17. 



15 



machine 4 + cie fixe CC]^^^^ 

[0049] La cle de securite CC fixe est susceptible de 
presenter tout type de forme et peut par exemple etre 
integr6e au materiel. Elle se pr6sente par exemple sous 
la forme d'une chalne d'octets integree aux machines 2. 
[0050] La derivation de la concatenation est realisee 
par exemple au moyen d'un algorithme irreversible tels 
que les algorithmes MD5 ou SHA. 
[0051] Toute autre forme de r6ponse est susceptible 
d'etre utilisee. La reponse RD peut etre calcuiee a partir 
de certains elements seulement parmi ceux d6crits pre- 
cedemment, ou a partir.de combinaisons particulieres 
d'une partie ou de I'ensemble de ces elements. 
[0052] La reponse RD calcuiee s'affiche a Pecran du 
serveur 3 dans la case designee par le terme « Reponse 
» (figure 3). 

[0053] Le precede consiste ensuite a transmettre a 
I'utilisateur 7 la reponse obtenue RD par les moyens de 
communication 9 ; I'administrateur 8 transmet a I'utilisa- 
teur 7 la reponse RD au defi par les moyens de commu- 
nication 9. 

[0054] Le precede consiste ensuite a effectuer un cal- 
cul a I'aide de la machine locale 4 de la m£me facon que 
le serveur distant 3 pour obtenir une reponse RD1 fonc- 
tion du defi D et/ou de donnees determinees. 
[0055] - L'utilisateur 7 saisit la reponse RD au deft dans 



50 [0057] Le calcul de la reponse effectue, le nom d'uti- 
lisateur, le mot de passe et le defi sont supprimes des 
moyens de memorisation utilisateur 1 7. 
[0058] Le precede consiste ensuite a comparer la re- 
ponse RD transmise par I'administrateur et la reponse 

35 RD1 calcuiee par la machine locale 4 et autoriser la con- 
nexion de Tutilisateur a la machine 4 en local en fonction 
du resultat de la comparaison. 

[0059] Le module d'authentification utilisateur 10 
compare ladite reponse RD1 a la reponse RD obtenue 

40 par le serveur 3 et transmise par I'administrateur. Plu- 
sieurs types de comparaison sont susceptibles d'etre 
utilises suivant le calcul effectue sur le serveur 3 et la 
machine locale 4. Selon une forme de realisation illus- 
trative, le module utilisateur de calcul de reponse a un 

4S defi 1 2 et le module administrateur de calcul de reponse 
a un defi 15 utilisent un algorithme de calcul identique : 
le type de comparaison est alors cede de I'identite des 
reponses obtenus respectivement par le serveur3 et la 
machine locale 4. Si la reponse RD1 obtenue par le mo- 

50 dule utilisateur de calcul de reponse 1 2 est identique a 
la reponse RD transmise par I'administrateur par les 
moyens de communication 9, I'utilisateur est authentifie 
et est autorise a se connecter localement sur la machine 
4 concemee. 

55 [0060] Selon une forme de realisation de I'invention, 
le precede d'authentification a distance selon I'invention 
comprend une authentication locale addition n elle. 
Lorsque I'utilisateur s'est connecte en local selon le pro- 
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cede selon I'invention tel que decrit precedemment, il 
. peut souhaiter se deconnecter temporairement. Dans 
ce cas, il est prevu une authentification locale addition- 
nelle pour eviter de reprendre le proc6d6 selon inven- 
tion dans son entier. 

[0061] Comme montre sur le figure 4, le module 
d'authentification utilisateur 10 invite I'utilisateur 7 a sai- 
sir sur la machine 4 un nom d' utilisateur et un mot de 
passe pour le mode maintenance. 
[0062] Le nom d'utilisateur en mode maintenance et 
le mot de passe en mode maintenance sont stockes 
dans les moyens de memorisation utilisateur 17. 
[0063] Le module utilisateur d'authentification 10 ve- 
rifies! le nom d'utilisateur 7 en mode maintenance existe 
deja sur la machines, a savoir si son nom d'utilisateur 
en mode maintenance est stocks dans les moyens de 
memorisation 17. Les moyens de memorisation 17 peu- 
vent se presenter sous la forme d'une base de donnees. 
Si le nom d'utilisateur en mode maintenance existe, le 
mot de passe en mode maintenance associe au nom 
d'utilisateur en mode maintenance saisi par I'utilisateur 
est stocke dans les moyens de memorisation 1 7 : il rem- 
place tout mot de passe existant associe au nom d'uti- 
lisateur en mode maintenance en question. Si le nom 
d'utilisateur en mode maintenance n'existe pas, il est 
cree. 

[0064] En fin de session, I'utilisateur, lorsqu'il se de- 
connecte. peut quitter ou rester dans le mode mainte- 
nance, comme le montre le figure 5. S'il quitte le mode 
maintenance, il devra reprendre le proc6d6 d'authenti- 
fication a distance dans son entier. S'il reste dans le mo- 
de maintenance, il lui suffira de saisir son nom d'utilisa- 
teur en mode maintenance et mot de passe en mode 
maintenance associe,. comme le montre la figure 6. Le 
module d'authentification utilisateur 10 v6rifie si le nom 
d'utilisateur et le mot de passe en mode maintenance 
sont stockes dans les moyens de memorisation 17 
d'une part, et correspondent a ceux stockes d'autre part. 
Dans la positive, la connexion iocale est a nouveau 
autoris6e sans avoir a reprendre le proc6d6 d'authenti- 
fication a distance selon I'invention. 
[0065] Le mode maintenance peut presenter une du- 
r6e limiteedurant laquelle Putilisateurpeut se connecter 
et se deconnecter. Si I'utilisateur se deconnecte apres 
avoir d6passe la dur6e autorisee, il devra s'auth entitle r 
a nouveau selon le procede de I'invention, 
[0066] La possibilite d'utiliser le procede d'authentifi- 
cation a distance selon I'invention et done le mode main- 
tenance ainsi que la duree du mode maintenance sont 
configurable sur les machines locales 4. II est a noter 
que I'autorisation de se connecter localement est don- 
nee par un admin istrateur et pour une station donn6e. 
[0067] Le proc6d6 d'authentification a distance de 
I'utilisateur 7 pour acceder localement a la machine lo- 
cale 4 appartenant a un r6seau 5 incluant le serveur dis- 
tant 3 g6re par I'admin istrateur 8 et contenant les 
moyens de classement 6 d'informations, est caract6rise 
en ce qu'il consiste a : 



• creer au moyen de la machine locale 4, un defi D 
apte a §tre transmis par les moyens de communi- 
cation 9, les moyens de communication 9 mettant 
I'utilisateur en relation avec I'administrateur 8 ; 

5 • communiquer a I'administrateur 8 le d6fi cr66 D ain- 
si que des elements connus de I'utilisateur a I'aide 
des moyens de communication 9 ; 

• eftectuer un calcul predetermine au moyen du ser- 
veur 3 pour obtenir une r6ponse RD fonction du.defi 
D et/ou de donn6es determinees; 
transmettre a I'utilisateur 7 la reponse obtenue RD 
par les moyens de communication 9 ; 
eftectuer un calcul a I'aide de la machine locale 4 
de la meme facon que le serveur 3 pour obtenir une 
reponse RD1 fonction du defi D et/ou de donnees 
determinees ; 

comparer la reponse RD transmise par I'adminis- 
trateur et la reponse RD1 calcul6e par la machine 
locale 4 et autoriser la connexion de I'utilisateur a 
la machine 4 en local en fonction du resultat de la 
comparaispn. 

[0068] Le calcul effectue par le serveur 3 consiste a 
modifier suivant un algorithme determine le defi D et/ou 
au moins une des donnees suivantes : au moins une 
information issue des moyens de classement et connue 
de Tutilisateur, a u moins un secret partage entre le ser- 
veur 3 et la machine locale 4, au moins un element com- 
munique par I'utilisateur. 

[0069] Le calcul effectue par la machine locale 4 con- 
siste a modifier suivant un algorithme determine le defi 
D et/ou au moins une des donnees suivantes : au moins 
un secret partage entre le serveur 3 et la machine locale 
4, au moins un element communique par Tutilisateur. 
[0070] Le ou les secrets partages sont saisis dans le 
serveur 3 et transmis a la machine locale 4 lors d'une 
authentification reseau reussie. 

[0071] Le ou les secrets partages sont modifies a 
I'aide d'une cl6 de modification C dependant de la ma- 
chine locale 4, avant d'etre modifies par I'algorithme. 
[OO72] La d6 de modification C consiste a concatener 
le secret ou une combinaison des secrets se pr6sentant 
sous forme d'une chatne d'octets appeiee Station Se- 
cret MaTtre et a d6river la. chatne d'octets obtenue par 
concatenation, au moyen d'un algorithme de calcul, 
pour obtenir une chaTne d'octets appeiee Station Se- 
cret 

[0073] Le ou les secrets partages sont accompagn6s 
d'un num6ro de version qui s'increrhente a chaque fois 
qu'ils sont modifies. 

[0074] Le defi est constrtue d'une chaTne de caracte- 
res alphanumeriques. 
[0075] Le defi est compose : 
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d'un premier octet representant le type de d6fi, le 
type indiquant si une authentification r6seau a 6te 
realis6e; 

d'un deuxieme et troisieme octets representant le 
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numero de version des informations partagees ; 
• de caracteres alphanumeriques aleatoires du qua- 
trieme au douzieme octets. 

[0076] La reponse (RD ; RD1) est calculee en deri- 
vant suivant un algorithme de calcul une chaine de ca- 
racteres composee de la concatenation dans un ordre 
predetermine du defi, de la chaine de caracteres resul- 
tant de la transformation par un algorithme de calcul du 
mot de passe de I'utilisateur, du Station Secret et du 
nom de I'utilisateur. 

[0077] La reponse (RD ; RD1) peut egalement etre 
calculee en derivant suivant un algorithme de calcul une 
chaine de caracteres composee de la concatenation 
dans un ordre predetermine du defi, d'une cie de secu- 
rite fixe CC stockee dans la machine 4 locale et dans le 
serveur 3, du nom de la machine locale 4, de la chaine 
de caracteres resultant de la transformation par un al- 
gorithme de calcul du mot de passe de I'utilisateur et du 
nom de Putilisateur. 

[0078] La connexion locale autoris6e est temporaire, 
la duree autorisee etant configurable. 
[0079] Le procede consiste a authentifier localement 
I'utilisateur 7 apres une deconnexion de I'utilisateur 7 
authentifie a distance. 

[0080] La present e invention porte egalement sur le 
systeme d'authentification a distance de I'utilisateur 7 
pour I'acces local a la machine appeiee machine locale 
4, appartenant a un r6seau 5 incluant un serveur distant 
3 g6r6 par I'administrateur 8 et contenant des moyens 
de classement 6 d'informations, caracteris6 en ce qu'il 
comprend des moyens de communication 9 mettant 
I'utilisateur 7 en relation avec I'administrateur 8, en ce 
que chaque machine locale 4 comprend un module 
d'authentification utilisateur 10 comportant un module 
utilisateur de generation de defi 11 et un module utilisa- 
teur de calcul de reponse a un defi 12, et en ce que le 
serveur 3 comprend un module d'authentification admi- 
nistrateur 13 comportant un module administrateur de 
calcul de reponse a un defi 14. 

R even dicat Ions 

1. Procede d'authentification a distance d'un utilisa- 
teur (7) pour acc6der localement a une machine lo- 
cale (4) appartenant a un reseau (5) incluant un ser- 
veur distant (3) ger6 par un administrateur (8) et 
contenant des moyens de classement (6) d'infor- 
mations, caracterise en ce qu'il consiste a : 

creer un defi (D) apte a dtre transmis par des 
moyens de communication (9), les moyens de 
communication (9) mettant I'utilisateur (7) en 
relation avec I'administrateur (8) ; 
• communiquer a I'administrateur (8) le defi cr6e 
(D) ainsi que des elements connus de I'utilisa- 
teur a I'aide des moyens de communication 



(9);' 

• effectuer un calcul predetermine au moyen du 
serveur (3) pour obtenir une reponse (RD) tone- 
tion du defi (D) et/ou de donnees determinees; 

• transmettre a I'utilisateur (7) la reponse obte- 
nue (RD) par les moyens de communication 
(9); 

• effectuer un calcul a I'aide de la machine locale 
(4) de la m§me facon que le serveur (3) pour 
obtenir une reponse (RD1) fonction du d6fi (D) 
et/ou de donnees determinees ; 

• comparer la reponse (RD) transmise par I'ad- 
ministrateur et la reponse (RD1) calculee par 
la machine locale (4) et autoriser la connexion 
de I'utilisateur a la machine (4) en local en fonc- 
tion du resultat de la comparaison. 

2. Procede selon la revendication 1 , caracterise en ce 
que le calcul effectue par je serveur (3) consiste a 
modifier suivant un algorithme determine le defi (D) 
et/ou au moins une des donnees suivantes : au 
moins une information issue des moyens de clas- 
sement et connue de I'utilisateur, au moins un se- 
cret partag6 entre le serveur (3) et la machine locale 
(4), au moins un element communique par I'utilisa- 
teur. 



3. Procede selon Tune des revendications 1 ou 2, ca- 
racterise en ce que le calcul effectue par la machine 

30 locale (4) consiste a modifier suivant un algorithme 
determine le defi (D) et/ou au moins une des don- 
nees suivantes : au moins un secret partage entre 
le serveur (3) et la machine locale (4), au moins un 
element communique par I'utilisateur. 

35 

4. Procede selon Tune des revendications 2 ou 3, ca- 
racterise en ce que le ou les secrets partag6s sont 
saisis dans le serveur (3) et transmis a la machine 
locale (4) lors d'une authentif ication reseau reussie. 

40 

5. Procede selon I'une des revendications 2 a 4, ca- 
racterise en ce que le ou les secrets partages sont 
modifies a I'aide d'une cie de modification ( C ) de- 
pendant de la machine locale (4), avant d'etre mo 

45 difi6s par I'algorithme. 

6. Procede selon la revendication 5, caracterise en ce 
que la cie de modification ( C ) consiste a concate- 
ner le secret ou une combinaison des secrets se 

50 pr6sentant sous forme d'une chaine d'octets appe- 
iee Station Secret Maitre et a d6river la chaine d'oc- 
tets obtenue par concatenation, au moyen d'un al- 
gorithme de calcul, pour obtenir une chaine d'octets 
appeiee Station Secret. 

7. Precede selon I'une des revendications 2 a 6, ca- 
racterise en ce que le ou les secrets partages sont 
accompagnes d'un numero de version qui s'incre- 
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mente a chaque fois que le secret est modifie. 



un module utilisateur de generation de defi (11) et 
un module utilisateur de calcul de reponse a un defi 
(12), et en ce que le serveur (3) comprend un mo- 
dule d'authentification administrateur (1 3) compor- 
tant un module administrateur de calcul de reponse 
Sun defi (14). 



8. 



Procede selon i'une des revendications 1 a 7, ca- 
racterise en ce que le defi est constitue d'une chaT- 
ne d'octets. 



5 



9. Procede selon les revendications 7 et 8, caracterise 
eh ce que le defi est compose : 

• d'un premier octet representant le type de defi, 10 
le type indiquant si une authentification reseau 

a ete realisee ; 

• d'un deuxieme et troisieme octets representant 
le nurnero de version des informations 
partagees ; . is 

• de caracteres alphanumeriques aleatoires du 
quatrieme au douzieme octets. 

10. ProcedS selon la revendication 6, caracterise en ce 
que la reponse (RD ; RD1 ) est calculee en derivant . 20 
suivant un algorithme de calcul une chain e de ca- 
racteres composee de la concatenation darls un or- 

dre predetermine du defi, de la chaine de caracte- 
res resultant de la transformation par un algorithme 
de calcul du mot de passe de I'utilisateur, du Station 25 
Secret et du nom de Tutilisateur. 

11. Procede selon I'une des revendications 1 a 9, ca- 
racterise en ce que la reponse (RD ; RD1) est cal- 
culee en derivant suivant un algorithme de calcul 30 
une chame de caracteres composee de la conca- 
tenation dans un ordre predetermine du defi, d'une 

cle de securite fixe CC stockee dans la machine (4) 
locale et dans le serveur (3), du nom de la machine 
locale (4), de la chaine de caracteres resultant de 35 
la transformation par un algorithme de calcul du mot 
de passe de I'utilisateur et du nom de I'utilisateur 

12. Procede selon I'une des revendications 1 a 11, ca- 
racterise. en ce que la connexion locale autorisee *o 
est temporaire, la duree autorisee etant confiqura- 
ble. . 

13. Procede selon I'une des revendications 1 a 12, ca- 
racterise en ce qu'il consiste a authentifier locale- 45 
ment I'utilisateur (7) apres une deconnexion de I'uti- 
lisateur (7) authentifie a distance. 

14. Systeme d'authentification a distance d'un utilisa- 
teur (7) pour I'acces local a une machine appelee so 
machine locale (4), appartenant a un reseau (5) in- 
cluant un serveur distant (3) gere par un adminis- 
trateur (8) et contenant des moyens de classement 

(6) d'informations, caracteris§ en ce qu'il comprend 
des moyens de communication (9) mettant I'utilisa- ss 
teur (7) en relation avec I'administrateur (8), en ce 
que chaque machine locale (4) comprend un mo- 
dule d'authentification utilisateur (10) comportant 



9 



EP 1 028 568 A1 




FIG.1 



10 



EP 1 028 568 A1 



Ic deft par telephone h vctre edfiwustrateur. puis 
introdtisez vctre ncm. met de pane ct (a reponse ^ r^rninixtralcur. 



Norn 



Oefi 

Reports* 
Mode. 



Motdepasrc 



3 



OK 



£nnuter 



FI0.2 



Maintenance 




i 






i 




Oefi: | 


i 




Reponse: | 


i 




J Appiiquer J 


| Restaurer | Annuler | 


| Akle | 



FIG.3 



11 



EP 1 028 568 A1 



Conrwaon en moae MAINTENANCE. 






Introduce* un ncnvun mot de passe 






Horn i , 


I 


|- OK | 


Mat de aasse 


I 




Annufer 



FIG.4 




FIG.5 



Entrez un nom et un mot de pass© guf s**ent yafidei sur as syitgm© 



Norn 



I 

Mot d« passe £ 



MoJ<t 



H 



FIG.6 



12 



EP 1 028 568 A1 



Office europ6cn 
es brevets 



RAPPORT DE RECHERCHE EUROPEENNE 



Numftro do la demand* 

EP 00 40 0300 



DOCUMENTS CONSIDER ES COMME PERTINENTS 



Categoric 



Citation du document avec Indication, en cas de besoln, 
_ dgs partes pertlnentes 



CLASSEHENTDELA 
DEMANDS QntCt.7) 



EP 0 511 732 A (NAKAN0 MANABU ;MASATSUKI 
HIR0SHI (OP)) 4 novembre 1992 (1992-11-04) 

* colonne 2, ligne 8-50 * 

* colonne 3, ligne 41 «r colonne 4, ligne 
21 * 

* colonne 7, ligne 50 - colonne 9, ligne 

15 * 

* figure 2 * 

EP 0 444 351 A (AMERICAN TELEPHONE & 
TELEGRAPH) 4 septembre 1991 (1991-09-04) 

* abrege * 

* colonne 1, ligne 52 - colonne 2, ligne 6 
* 

♦colonne 2, ligne 35 - colonne 3, ligne 2 

* colonne 3, ligne 26 - colonne 5, ligne 
11 * 

* figure 2 * 

US 5 668 876 A (FALK JOHAN PER ET AL) 

16 septembre 1997 (1997-09-16) 

* colonne 1, ligne 66 - colonne 2, Hgne 
47 * 

* colonne 2, ligne 66 - colonne 4, ligne 
45 * 

* colonne 5, Hgne 22 - colonne 6, ligne 
54 * 



1-14 



1-14 



1-14 



Le present rapport a ete elabli pour toutes les revendicallons 



H04L29/06 



DOMAINES TECHNIQUES 
RECHERCHES (lntCI.7) 



H04L 
G06F 
H04Q 



LA HAVE 



22 juin 20.00 



LSzaro Lopez, M.L. 



CATEGORY DEB DOCUMENTS CITES 

X : partteuBArwnerrt pertinent a lii s«ul 

Y : partlcuflerBment partJnem en combmafeon avec un 

aulre document de (a meme categprle 
A : art dm- p< an tecrmotogique 
O : divulgation norv-ecrfte 
P : document tntercalalre 



T : theorie ou prlndps a la base de ITnvenflon 
E : document de brevet antericur, mais puofle a La 

date de depot ou apres cette date 
O : die dans la detrande 
L : die pour d'autras nelsons . 



a : membra de la merne iamflte. document con-espondant 



13 



EP 1 028 568 A1 



ANNEXE AU RAPPORT DE RECHERCHE EUROPEENNE 

RELATIF A LA DEMANDE DE BREVET EUROPE EN NO. EP 00 40 0300 



La presente annexe ndJque Jes membres de ta famille de brevels rebfffs aux documents brevets cftes dans le rapport de 
recherche europeenne vise ci-dessus. 
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US 5668876 
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2033566 A 
4218860 A 
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10-08-1992 
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AU 2688795 A 19-01-1996 

CA 2193819 A 04-01-1996 

EP 0766902 A 09-04-1997 
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Pour tout renselgnement concernant cede annexe : voir Journal Offidel da I Office europeen des brevets. No. 12/82 
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